China podría estar aprovechando el proceso de seguridad de Internet para robar datos: Expertos

Para acceder a los datos de usuarios desprevenidos, el Partido Comunista Chino (PCCh) podría estar explotando un proceso de autenticación universal que se cree que es seguro, pero que en realidad puede que no lo sea, advirtieron los expertos en ciberseguridad.

Si bien el cifrado sigue siendo el método preferido para asegurar los datos digitales y proteger las computadoras, en algunos casos, los mismos certificados digitales utilizados para la autenticación en Internet permiten al régimen chino infiltrarse en varias redes de computadoras y causar estragos, dijeron.

Los organismos de todo el mundo, conocidos como «Autoridades de certificación» (CA), emiten certificados digitales que verifican la identidad de una entidad digital en Internet.

Un certificado digital se puede comparar con un pasaporte o una licencia de conducir, dijo a The Epoch Times Andrew Jenkinson, CEO de la firma de ciberseguridad Cybersec Innovation Partners (CIP) y autor del libro «Stuxnet to Sunburst: 20 Years of Digital Explitation and Cyberwarfare» (Stuxnet to Sunburst: 20 años de explotación digital y guerra cibernética).

«Sin él, la persona o el dispositivo que está utilizando no puede estar de acuerdo con los estándares de la industria y el cifrado de datos vitales podría ser evitado dejando lo que se suponía que estaba cifrado en forma de texto plano», dijo.

A través de la criptografía, los certificados digitales se utilizan para cifrar las comunicaciones internas y externas que impiden que un hacker, por ejemplo, intercepte y robe datos. Pero los certificados no válidos o «falsos» pueden manipular todo el proceso de cifrado y, como resultado, «a millones de usuarios se les ha dado una falsa sensación de seguridad», dijo Jenkinson.

Capas de falsa confianza

Michael Duren, vicepresidente ejecutivo de la firma de ciberseguridad Global Cyber Risk LLC, explicó que los certificados digitales suelen ser emitidos por CA confiables, y luego los mismos niveles de confianza se transmiten a proveedores intermedios. Sin embargo, hay oportunidades para que una entidad comunista, un mal actor u otra entidad no confiable emita certificados a otras «personas viles» que parecerían ser confiables, pero que no lo son, dijo.

«Cuando se emite un certificado de una entidad de confianza», dijo Duren, «será de confianza, pero lo que el emisor podría estar haciendo en realidad es pasar esa confianza a alguien en quien no se debería confiar».

Duren dijo que nunca confiaría en una autoridad certificadora china por esta razón, y agregó que está al tanto de varias empresas que han prohibido los certificados chinos por emitirlos a entidades en las que no se puede confiar.

Las autoridades de certificación chinas, dijo Jenkinson, constituyen una pequeña parte del sector en general y los certificados que emiten generalmente se limitan a entidades y productos chinos.

En 2015, los certificados emitidos por el Centro de Información de la Red de Internet de China (CNNIC), la agencia estatal que supervisa el registro de nombres de dominio de China, fueron cuestionados. Google y Mozilla prohibieron los certificados de CNNIC a partir de certificados digitales no autorizados conectados a varios dominios. Ambas empresas de Internet se opusieron a que el CNNIC delegara su autoridad para emitir certificados a una empresa egipcia, que emitió los certificados no autorizados.

Según Jenkinson, los certificados de CNNIC fueron prohibidos porque «tenían puertas traseras».

“Una puerta trasera significa que [la autoridad certificadora china] podría literalmente hacerse cargo del acceso administrativo y enviar datos a la nave nodriza”, dijo.

Desde 2016, Mozilla, Google, Apple y Microsoft también han bloqueado a las autoridades de certificación chinas WoSign y su subsidiaria StartCom por prácticas de seguridad inaceptables.

Fallo de seguridad

A pesar las prohibiciones de los certificados digitales chinos en los últimos años, el PCCh no fue disuadido y está jugando a largo plazo, advirtió Jenkinson.

Señaló un descubrimiento alarmante, hecho por su firma de ciberseguridad hace dos años, que afecta a una consultora multinacional.

Normalmente, los certificados digitales son válidos durante un par de años, dependiendo de la autoridad de certificación, y es necesario renovarlos para mantener su validez y la seguridad de los datos que se supone que protegen, dijo.

«Pero en 2019, CIP descubrió certificados que tenían una vigencia de 999 años», dijo Jenkinson.

Su empresa hizo este descubrimiento al examinar los ordenadores portátiles de una destacada empresa de consultoría global.

Jenkinson llamó la atención de la firma sobre este error de seguridad y le ofreció servicios para asegurar sus redes informáticas y de clientes. Pero la empresa se negó.

«O son increíblemente complacientes o son cómplices», dijo, y agregó que los clientes de la empresa incluyen entidades del gobierno de EE.UU.

El hecho de que esta empresa multimillonaria no solucione este problema significa que cientos de miles de personas podrían estar expuestas a la infiltración china a través de la laxa seguridad de esta empresa, dijo Jenkinson.

La empresa está comprometiendo a sus clientes cada vez que alguien usa una de sus computadoras portátiles, agregó. Por ejemplo, las empresas o los clientes que utilicen los servicios de la empresa podrían verse obligados a pagar un rescate, el robo de su propiedad intelectual o la colocación de códigos maliciosos para su uso posterior.

Esta empresa «incumple todas las normas de privacidad que se conocen, y sólo quiere descartarlas», dijo el profesional de la ciberseguridad, señalando en particular las estrictas leyes de protección de datos de la Unión Europea.

Y si esta información se hiciera pública, dijo Jenkinson, las repercusiones serían extensas.

«Imagínese un ataque en el que un ciberdelincuente puede sentarse allí y obtener acceso fácilmente para capturar datos sin siquiera pensar en ello o tener que descifrarlos, porque todo está en texto sin formato [debido a una certificado o error de configuración]”, dijo.

Que una empresa de tan buena reputación decida no proteger a sus clientes es una «locura», dijo Jenkinson.

Una «pendiente resbaladiza»

Las pérdidas económicas producidas por los delitos cibernéticos están lejos de disminuir, señaló Jenkinson.

Las pérdidas globales por delitos cibernéticos superaron el billón de dólares en 2020, según un informe de la empresa de seguridad informática McAfee. En 2021, se espera que las pérdidas aumenten a más de USD 6 billones, dijo la firma de investigación Cybersecurity Ventures.

Jenkinson predice que las pérdidas económicas superarán los USD 10 billones para 2025. A este ritmo, «esto afectará a todos los hombres, mujeres y niños», dijo. «La pendiente resbaladiza en la que estamos, bueno, la estamos impulsando inconscientemente nosotros mismos».

Para revertir esta tendencia, para empezar, «la gente no debería usar certificados digitales CNNIC», dijo Jenkinson.

Duren de Global Cyber Risk estuvo de acuerdo y dijo: «No se debe confiar en nada que surja de una entidad controlada por el estado como la China comunista, que actúa como una autoridad certificadora».

Las autoridades de certificación necesitan mejores controles y supervisión, dijo Jenkinson. «Sin esto, nadie tiene ninguna posibilidad de saber qué certificados digitales se están utilizando, teniendo en cuenta que un ordenador portátil estándar contiene cientos de miles de instancias de certificados digitales».

Señaló que los productos informáticos chinos utilizarán predominantemente certificados digitales chinos. Por lo tanto, dijo, los usuarios de tales productos deben ser conscientes de que su seguridad podría verse comprometida como resultado.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí